2016.07.27(水)

攻撃者が不正なWebサイトをセキュリティベンダから隠す手法とは(トレンドマイクロ)

脆弱性と脅威 脅威動向

トレンドマイクロ株式会社は9月19日、攻撃者がエクスプロイトキットを仕掛けたWebサイトを、セキュリティベンダや関係者からどのように逃れているのかを同社ブログで解説している。攻撃者たちが利用するもっとも基本的な手法は、IPアドレスのブラックリスト化となっている。セキュリティベンダは、スパムメールの送信や不正なWebサイトのホスト先、収集された情報の受信に利用される広範なIPアドレスをブラックリスト化している。それと同様に、攻撃者たちもセキュリティベンダによって使用されると思われるIPアドレスのリストを持っており、それらのアドレスからのすべての接続をブロックする。

また、より巧妙な手法に「与えられた IPアドレスには一度きりしか接続させない」というものがある。セキュリティベンダは、特定の攻撃に関わるWebサイトのリストを持っていると仮定する。セキュリティベンダやセキュリティ関係者たちが手動もしくは自動化されたツールを使用してこのリスト内ひとつのWebサイトにアクセスすると、攻撃者はセキュリティベンダの使用するIPアドレスが攻撃に関わったWebサイトに接続したことを自らのバックエンドのデータベースに記録する。そして、セキュリティベンダや各関係者たちが他のWebサイトへ接続しようとすると、Webサイトはバックエンドのデータベースの記録を照会し、セキュリティベンダは不正なコンテンツに接続することができなくなる。

このようなバックエンドのデータベースは、「ダイナミック DNS(DDNS)」のサービスとともに利用されることもある。攻撃者たちは、DDNSのサービスを利用して大量のランダムなURLを動的に生成することにより、何者かがアクセスしているURLを数分以内にアクセスできない状態にすることが可能になる。こういった手法は、さまざまな面にわたってエクスプロイトキットにより利用されている。その典型的な手法のひとつ「infect once」では、「BlackHole Exploit kit(BHEK)」の両バージョン(1.x および 2.x)だけでなくエクスプロイトキット「Styx」および「CoolKit」にも利用されている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  2. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

    政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  3. 「Android OS 4.1.2以前」にCRIME攻撃を受ける脆弱性(JVN)

    「Android OS 4.1.2以前」にCRIME攻撃を受ける脆弱性(JVN)

  4. CGIにおいて環境変数HTTP_PROXYを使用するWebサーバ、Webアプリに脆弱性(JPCERT/CC)

  5. 位置情報連携型ゲームのプレイにおける注意喚起、個人情報の流出や非正規アプリも(NTTドコモ、KDDI、ソフトバンク、TCA)

  6. 「ポケモンGO」の話題性を悪用した攻撃者について警告(トレンドマイクロ)

  7. トロイの木馬型マルウェアが仕込まれたAndroid版「Pokemon GO」に注意喚起(McAfee)

  8. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  9. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  10. Javaに複数の脆弱性、早急な修正プログラムの適用を呼びかけ(IPA)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×